从“大国制造”到“大国智造” ——工业数据若干合规问题研究
作者:吴卫明 李荣荣 施瑞燕 2022-06-02以数字化驱动的新一轮工业革命正蓬勃兴起,工业领域日益成为数字化转转型的重要领域。再人、机、物全面互联的新模式下,工业数据成为本轮工业革命加速发展的重要要速。工业和信息化部(以下简称“工信部”)部长于肖亚庆于2022年5月26日在2022中国国际大数据产业博览会上提出:“大数据应用从互联网、金融、电信等领域逐步向智能制造等领域拓展,极大丰富了我国数据资源,催生一批新场景新模式新业态”[1]。
但是,相较金融数据、政务数据、健康医疗数据、汽车数据等领域,工业数据法律法规体系建设尚处于起步阶段。工业数据在研发设计、生产控制、运营管理、应用服务等各相关均有涉及,部分环节的数据安全事件,有可能引发企业工业生产经营活动停滞,因而隐藏的安全风险较大。本文将梳理工业数据法律法规现状,阐释工业数据的概念及内涵,并提出合规建议。
一、 工业数据法律法规概览
工业数据合规所涉及的法律法规主要包括《网络安全法》《数据安全法》《国家安全法》等数据安全方面的一般法律规则,以及工业数据领域的专门法律规则,前者为工业数据合规提供了基本原则,后者则构成了工业数据合规的主体架构。进一步而言,就工业数据领域的专门法律规则,目前形成了《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》为引领,主管机关工信部出台的多部部委规章为重要组成部分的格局,现梳理该等工业数据合规的专门法律规则并重点介绍如下:
2017年11月19日,国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,提出工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,并将建立工业数据安全保护体系(如收集、存储、处理、转移、删除等环节的安全防护能力、分级分类管理制度、安全监督检查等)明确列为规范和发展工业互联网的主要任务之一[2]。
2020年2月27日,工信部发布了《工业数据分类分级指南(试行)》( 工信厅信发〔2020〕6号),适用于工业企业、工业互联网平台,界定了工业数据的定义,提出了工业数据分类分级的具体要求。
2020年4月28日,工信部发布了《关于工业大数据发展的指导意见》,规定了工业大数据的概念,并对工业数据的汇聚、共享、安全治理、安全管理体系等方面提出了方向性意见。
2021年9月30日,工信部首次对《工业和信息化领域数据安全管理办法(试行)》征求意见(以下简称“旧版《工信数据管理办法(征求意见稿)》”),该管理办法定位于工业和信息化数据安全管理的顶层设计,主要界定了工业数据的概念,提出了工业数据分类分级、安全管理等工作的具体要求,构建了工业数据领域的监管体系,明确了工业数据全生命周期安全保护要求等;2022年2月10日,工信部对《工业和信息化领域数据安全管理办法(试行)》再次征求意见(以下简称“新版《工信数据管理办法(征求意见稿)》”,新旧两版《工信数据管理办法(征求意见稿)》以下统称“《工信数据管理办法(征求意见稿)》”),调整了工业数据的概念,不再采用数据处理者应当坚持先分类后分级的表述,增加了何种情形下需要履行重要数据和核心数据目录备案变更手续等。
此外,中国工业互联网产业联盟还发布了多部工业数据领域的行业指导文件,包括《工业互联网平台白皮书(2017)》《工业大数据技术与应用白皮书》《工业互联网平台 安全防护要求》《工业互联网 网络安全数据采集装置 技术要求》《工业大数据分析案例剖析》《可信工业数据空间系统架构1.0 》等白皮书、技术标准,在目前工业数据领域法律法规体系尚未健全的情况下,为工业数据安全管理的落地执行提供了参考。
二、 工业数据的概念
法律文件名称 | 工业数据的概念 |
《工业数据分类分级指南(试行)》 | 工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 |
《关于工业大数据发展的指导意见》 | 工业大数据是工业领域产品和服务全生命周期数据的总称,包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台中的数据等。 |
《工信数据管理办法》第三条第一款 | 工业数据是指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。 |
新版《工信数据管理办法》第三条第一款 | 工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。 |
结合上述相关法律及规范性文件中工业数据的概念,对工业数据的理解可从如下两个方面入手:
1、工业数据的产生主体
从上述相关法律及规范性文件的发布时间先后来看,工业数据涉及的主体范围逐渐趋于宽泛,具体而言:
首先,《工业数据分类分级指南(试行)》《关于工业大数据发展的指导意见》明确规定,工业数据的主体涵盖工业企业和工业互联网平台企业两种类型。其中:(1)工业企业比较容易理解,即从事工业各行业各领域的企业;(2)工业互联网平台企业的理解则较为复杂,法律法规层面尚未界定何为工业互联网平台,参考工业互联网产业联盟发布的《工业互联网平台白皮书(2017)》,工业互联网平台是面向制造业数字化、网络化、智能化需求,构建基于海量数据采集、汇聚、分析的服务体系,支撑制造资源泛在连接、弹性供给、高效配置的工业云平台。工信部于2022年5月24日公布了《2022年跨行业跨领域工业互联网平台名单》,共计遴选了包括海尔卡奥斯物联生态科技有限公司搭建的“卡奥斯COSMOPlat工业互联网平台”在内的28家平台。
其次,《工信数据管理(征求意见稿)》在《工业数据分类分级指南(试行)》《关于工业大数据发展的指导意见》基础上,将工业数据范围界定为在“工业各行业各领域”中,新版《工信数据管理办法》在表述方式上进一步将工业数据产生、使用、收集的主体从原先逐一列举的行业直接明确为“工业各行业各领域”。其中,对于“工业各行业各领域”的理解,结合《国民经济行业分类》和国家统计局发布的“2022年1—4月份全国规模以上工业企业利润增长3.5%”中“行业”字段的统计口径[3],“工业行业”包括B“采矿业”、C“制造业”、D“电力、热力、燃气及水生产和供应业”三个门类及其下属的煤炭开采和洗选业等41个大类。
实务中,除了工业企业、工业互联网平台这两种典型的主体类型外,还包括其他主体类型,比如,(1)工业数据交易场所:《关于工业大数据发展的指导意见》明确提出:“构建工业大数据资产价值评估体系,研究制定公平、开放、透明的数据交易规则,加强市场监管和行业自律,开展数据资产交易试点,培育工业数据市场” ,数据有序流动是挖掘其最大价值的有效途径之一,工业数据也不例外,建设规范、可信的工业数据流通环境至关重要。(2)工业企业以外的上下游供应链企业:上下游供应链企业不一定属于工业企业、工业互联网平台,比如,为某制造业厂商提供设备及生产线保养维护的企业,其服务数据能够反映该设备与生产线的运行状况,也会被纳入工业数据范畴。
2、工业数据的产生环节
在工业数据的产生环节,上述相关法律法规、规范均列举了研发设计、生产制造、经营管理、运行维护、平台运营过程中产生的数据。同时,新版《工信数据管理办法(征求意见稿)》剔除了旧版《工信数据管理办法(征求意见稿)》列明的“应用服务过程中收集和产生的数据”,结合《工业数据分类分级指南(试行)》中的工业数据概念,从字面上理解,“平台运营”包括工业互联网平台企业的“设备接入、平台运行、工业APP应用等过程”,“平台运营”可囊括“应用服务”环节,故新版《工信数据管理办法(征求意见稿)》未进一步列举“应用服务”环节。
三、 工业数据与其他行业数据的关系
1、电信数据
新旧两版《工信数据管理办法(征求意见稿)》均提及了电信数据,电信数据是电信业务经营活动中产生和收集的数据。如前所述,工业数据是工业各行业各领域相关活动中产生和收集的数据,两者产生和收集数据所在的行业领域不同。按照《国民经济行业分类》划分的行业分类,电信业务被划分至《国民经济行业分类》中的I门类“信息传输、软件和信息技术服务业”,与工业行业分属不同的行业门类。
根据《中华人民共和国电信条例》《电信业务分类目录》,电信业务又分为基础电信业务和增值电信业务:(1)基础电信业务,是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务,包括固定通信业务、蜂窝移动通信业务、第一类卫星通信业务、第一类数据通信业务、IP电话业务等。(2)增值电信业务,是指利用公共网络基础设施提供的电信与信息服务的业务,包括互联网数据中心业务、内容分发网络业务、互联网接入服务业务、存储转发类业务、呼叫中心业务、信息服务业务等。截至2022年4月底,全国增值电信业务经营许可企业共125006家,合计拥有176105个许可项目[4]。
虽然电信数据与工业数据分属不同数据类型,但两者在一定情况下会产生交集。比如通过云计算机构搭建的工业互联网平台,如果服务方以公有云的方式搭建平台或者为工业互联网平台提供云架构的支持,则云服务商需要取得数据中心及互联网资源协作的增值电信业务许可。在工业互联网平台上的数据,一方面构成工业数据,另一方面也可能被认定为电信数据。
2、汽车数据
根据《汽车数据安全管理若干规定(试行)》,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。而汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。
从行业角度分析,汽车数据与工业数据之间属于交叉关系,具体而言,结合《国民经济行业分类》,汽车相关的行业包括“C制造业”门类下的“汽车制造业”(第36大类),“G交通运输、仓储和邮政业”门类下的“道路运输业”(第54大类),以及“O居民服务、修理和其他服务业”门类下的“机动车、电子产品和日用品产品修理业(第81大类)”,以及车联网等领域。如新版《工信数据管理办法(征求意见稿)》生效,前述“汽车制造业”产生和收集的数据将被纳入工业数据,而“道路运输业”和“机动车、电子产品和日用品产品修理业”产生和收集的数据将不被纳入工业数据范畴。两者的关系示意图如下:
四、 工业数据安全管理合规建议
1、建立和完善工业数据分类分级制度
建议企业根据《数据安全法》《工信数据管理办法》《工业数据分类分级指南(试行)》《网络安全标准实践指南——网络数据分类分级指引》等法律文件,建立符合法律法规、行业标准和契合企业自身情况的分类分级标准。
就工业数据分类而言,相关标准和指引提出了一些可行的做法,具体包括:(1)《网络安全标准实践指南——网络数据分类分级指引》等一般法律规则提出了数据分类的基本原则,即在遵循国家和行业数据分类要求的基础上,从多个维度进行分类[5];(2)新版《工信数据管理办法》结合工业数据的概念,从工业数据产生环节角度,提出了工业数据的基本类型,即研发设计数据、生产制造数据、经营管理数据、运行维护数据、平台运营数据等;(3)《工业数据分类分级指南(试行)》第六条、第七条从工业企业、互联网平台企业的主体和工业数据产生环节相结合的角度,提出了工业数据更为详细的分类维度,即工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等);平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
就工业数据的分级而言,(1)《数据安全法》《网络安全标准实践指南——网络数据分类分级指引》《工信数据管理办法》规定的分级标准基本一致,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益或工业生产、经济效益等方面造成的危害程度,将工业数据的等级从低到高分为一般数据、重要数据和核心数据等3个级别;(2)《工业数据分类分级指南(试行)》第三章规定,根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据从低到高分为一级、二级、三级等3个级别。
2、重要数据和核心数据目录备案
《数据安全法》《工业数据分类分级指南(试行)》等现行法律法规并未规定重要数据和核心数据目录备案机制,该机制系《工信数据管理办法(征求意见稿)》首次提出,要求涉及工业数据的企业主动将本单位重要数据和核心数据目录向地方主管工业和信息化主管部门备案。备案内容包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。重要数据和核心数据的类别或规模变化30%以上的,或者其它备案内容发生重大变化的,企业还应当在发生变化的三个月内履行备案变更手续。
该等列入重要数据和核心数据级别的工业数据可能会关乎到国民经济、行业发展、公共利益、社会秩序乃至国家安全,备案机制有助于国家加强对数据安全的管控。
3、工业数据全生命周期安全防护
建议企业针对不同类别级别的工业数据,从收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等各环节落实安全防护要求。结合《数据安全法》《工信数据管理办法(征求意见稿)》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全防护指南》等相关法律法规,工业数据全生命周期的安全防护的要求主要如下:
一般数据 | 重要数据 | 核心数据 | ||
数据收集 | Ø 合法、正当、必要的原则。 Ø 直接采集:根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集时间、类型、数量、频度、流向等进行记录。 Ø 间接获取:与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任【协议方式等】。 | |||
数据存储 | 依据法律规定或者与用户约定的方式和期限存储数据。 | 还需采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共信息网络访问,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。 | 还需实施异地容灾备份。 | |
数据使用加工 | Ø 利用数据进行自动化决策的,保证决策的透明度和结果公平合理。 Ø 取得电信业务经营许可(如需)。 | 还需加强访问控制,建立登记、审批机制并留存记录。 | ||
数据传输 | 根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。 | 还需采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。 | ||
数据提供 | 明确提供的范围、类别、条件、程序等,并与数据获取方签订数据安全协议。 | 还需对数据获取方数据安全保护能力进行评估或核实,采取必要的安全保护措施。 | 核心数据跨主体处理还需评估安全风险,采取必要的安全保护措施,并经由地方监管部门报工信部。 | |
数据转移 | 转出方:因兼并、重组、破产等原因需要转移数据的,明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。 | 还需及时向所在地监管部门更新备案。 | ||
委托处理 | 通过签订合同协议等方式,明确委托方与被委托方的数据安全责任和义务。 | 还需对被委托方的数据安全保护能力、资质进行评估或核实 | ||
数据公开 | 在数据公开前分析研判可能对公共利益、国家安全产生的影响,存在重大影响的不得公开。 | |||
数据销毁 | Ø 建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。 Ø 个人、组织依据法律规定、合同约定等请求销毁的,应当销毁 | Ø 还需及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案; Ø 还需不得以任何理由、任何方式对销毁数据进行恢复。 | ||
数据出境 | 虽然《工信数据管理办法(征求意见稿)》规定重要数据、核心数据应在境内存储和数据出境安全评估要求,未明确规定一般数据是否也应遵照执行[6],但工业历来是国家最主要的物质生产部门,对国民经济发展至关重要,工业企业、互联网平台企业等涉及产生工业数据的主体被认定为关键信息基础设施运营者的可能性较大,建议仍严格按照《网络安全法》《数据安全法》等关于数据出境的要求,在中华人民共和国境内收集和产生的工业数据,履行在境内存储义务,确需向境外提供的,依法依规进行工业数据的出境安全评估。 | |||
日志留存 | 在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。 |
4、数据安全监测预警与应急管理
结合《网络安全法》《数据安全法》《工信数据管理办法(征求意见稿)》等相关法律法规,建议企业建立安全监测预警与应急管理机制,主要义务内容如下:
序号 | 管理要求 | 内容 | 要点摘要 |
1 | 监测预警机制 | 应监管部门发布的预警通知应对处理; 开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。 | 风险监测+防范措施 |
2 | 信息上报和共享 | 及时将自身数据安全风险情况向所在地监管部门报告。 | 安全风险报告义务 |
3 | 应急处置 | 在数据安全事件发生后,按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,应当第一时间向地方监管部门报告。事件处置完成后在规定期限内形成总结报告,每年向地方监管部门报告数据安全事件处置情况。 对可能损害用户合法权益的数据安全事件,及时告知用户,并提供减轻危害措施。 | 应急处置+重要数据/核心数据发生报告+处置情况定期报告+用户告知 |
4 | 举报投诉处理 | 鼓励建立用户投诉处理机制。 | 举报投诉处理机制+提供有效渠道 |
五、 小结
目前我国正处于“大国制造”迈向“大国智造”的关键转型时期,《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也在国家战略层面明确提出要积极稳妥发展工业互联网,工业数据既是维系工业互联网稳定运行的基础,业务制造业数字化转型的保障,可以预见,工业数据相关的法律法规数量将逐步增多、法律体系将更加完善、合规监管也将趋于严格。
[1] 网易,工信部部长肖亚庆:要加快建设数字基础设施,查询网址:https://www.163.com/dy/article/H89PH8G20539AP40.html。
[2] 《关于深化“互联网+先进制造业”发展工业互联网的指导意见》三、主要任务(六)强化安全保障 建立数据安全保护体系。建立工业互联网全产业链数据安全管理体系,明确相关主体的数据安全保护责任和具体要求,加强数据收集、存储、处理、转移、删除等环节的安全防护能力。建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,明确数据留存、数据泄露通报要求,加强工业互联网数据安全监督检查。
[3] 国家统计局,2022年1—4月份全国规模以上工业企业利润增长3.5%,查询网址:http://www.stats.gov.cn/tjsj/zxfb/202205/t20220527_1857748.html。
[4] 中国信息通信研究院,《国内增值电信业务许可情况报告(2022.04)》,查询网址:http://www.caict.ac.cn/kxyj/qwfb/qwsj/202205/P020220516441534931186.pdf。
[5] 《网络安全标准实践指南——网络数据分类分级指引》4.1数据分类框架 数据分类具有多种视角和维度,其主要目的是便于数据管理和使用……数据分类框架数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。
[6] 新版《工业和信息化领域数据安全管理办法(试行)》(征求意见)第二十一条【数据出境】工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。